赞
踩
服务名称 |
---|
IIS |
DNS |
DHCP |
FTP |
作为一台服务器,在搭建服务器前请确保使用静态IP地址。
1. 服务配置说明
配置文件 | 作用 |
---|---|
%windir%\system32\inetsrv\config\applicationHost.config (for win2008) | 节点下包含了IIS的“网站”下面的具体网站节点(每一个代表了一个网站节点),在每一个内,其name属性描述了IIS网站节点的显示文本;节点的孙节点的physicalPath属性描述了对应网站在本地驱动器的路径信息。 |
2. IP地址说明
IP地址 | 作用 |
---|---|
192.168.1.53 | 服务器ip地址 |
在开始界面点击控制面板
点击 打开或关闭window功能 跳转至服务器管理器
选择角色,点击添加角色
在选择服务器界面勾选web服务器IIS,完成安装。
服务测试
从配置文件可以发现站点的一些信息
1. 服务配置说明
配置文件 | 作用 |
---|---|
C:\Windows\System32\dns*.dns | 正向解析规则文件 |
C:\Windows\System32\dns*in-addr.arpa.dns | 反向解析规则文件 |
2. IP地址说明
IP地址 | 作用 |
---|---|
192.168.1.53 | DNS服务器ip地址 |
192.168.1.54 | mail.flynn.com |
192.168.1.55 | www.flynn.com |
192.168.1.56 | ftp.flynn.com |
在添加服务器角色窗口中选择服务器角色,勾选DNS服务器,并完成安装。
安装好之后,在开始界面打开DNS管理器
首先创建正向解析(域名->IP)
这里创建的是主DNS,选择主要区域
输入需要解析的域名
观察C:\Windows\System32\dns 目录
继续创建区域
再次观察目录,发现多了一个dns后缀文件
在dns管理器选择刚刚创建的区域flynn.com,右击选择新建主机
根据需要创建正向解析规则
tip:这里值得一提的是这个PTR,如果勾选,那么将会自动创建该主机的反向解析。为了实验效果,这里不勾选。
创建好三个主机后的配置文件
正向解析验证,发现正向解析已经成功
现在来创建反向解析区域
选择主要区域,ipv4地址,选择区域,这里需要解析的ip都是192.168.1.X网段的,所以名称中ip为1.168.192
在dns管理器选择刚刚创建的区域1.168.192.in_addr,右击选择新建指针
一个一个的把解析规则录入
反向解析验证,发现全部成功
1. IP地址说明
IP地址 | 作用 |
---|---|
192.168.1.53 | DHCP服务器IP地址 |
9. 定义分配的IP地址
10. 定义租用时间
11. 配置DHCP选项
1. IP地址说明
IP地址 | 作用 |
---|---|
192.168.1.53 | FTP服务器IP地址 |
添加角色服务,在服务器管理界面,右击web服务器IIS角色,选择添加角色服务
在选择角色服务界面,找到FTP服务,并勾选完成安装
在开始界面打开IIS服务管理器,发现已经有FTP相关设置。
现在开始搭建FTP服务,在IIS管理界面,右击网站,选择添加FTP站点
输入一个好记的名字,和FTP本地文件路径
配置IP地址,SSL证书暂不配置
根据实际情况创建用户和相关权限
刷新一下页面,发现创建成功
FTP功能测试,需要注意的是,如果在创建FTP站点时指定了IP地址则必须使用对应的IP,in the case 本地地址是无法连接服务的。
默认会自动创建一个系统管理员账号,即Administrator。许多管理员贪图一时方便,就直接用作自己的账户,因此,许多黑客攻击的服务器的时候总是试图破解Administrator 账户的密码,如果此时密码安全性不高,就很容易被破解。所以,可以更改管理员账户名来避免此类攻击,提高系统安全性,同时创建一个名称为Administrator的普通用户且密码极其复杂。
或者直接禁用超级管理员用户,创建一个普通管理员用于平时维护即可。
账户锁定策略可以防止暴力破解的攻击方式,所以,很有必要设置账户锁定策略。
开始->运行->secpol.msc (本地安全策略)->安全设置->账户设置->账户锁定策略
复位帐户锁定计数器、账户锁定时间设置为一分钟即可,账户锁定时间不宜设置太长,避免被人恶意攻击而造成自己无法登陆。帐户锁定阀值设置5次即可,不应设置太大。否则起不到好的效果。
NTFS
服务加固项说明
加固内容 | 作用 |
---|---|
设置NET信任级别 | 应用程序的信任级别确定由ASP.NET代码访问安全性(CAS)策略授予的权限。CAS定义了两个信任类别:完全信任和部分信任。具有完全信任权限的应用程序可以访问服务器上的所有资源类型并执行特权操作。具有完全信任的应用程序仅受操作系统的安全设置影响 部分信任定义为小于完全信任的任何信任级别。以部分信任运行的应用程序具有不同级别的操作权限和对资源的访问。例如,通常将存储在网络共享上的应用程序代码的信任级别指定为比存储在本地服务器上的应用程序代码的信任级别低。 |
IIS管理器用户权限 | 限制可以连接到服务器的用户,配合管理器的权限使用 |
PKI服务器证书 | 通过加密和数字签名等密码服务及必须的密钥和证书管理实现网络传输的安全 |
对不同的站点设置.NET信任级别,可以直接使用命令
appcmd set config /commit:WEBROOT /section:trust /level: Full | High | Medium | Low | Minimal
IIS 7.0 支持以下用户验证方法:
搭建PKI服务,添加证书服务角色
勾选证书颁发机构
选择根CA类型
根据情况创建私钥或使用现有私钥
设置私钥加密算法
设置CA名称和有效期
打开IIS管理器,找到服务器证书选项
点击创建证书申请
输入服务器相关信息
选择传输加密方式
选择一个文件存储申请信息
完成后,打开浏览器输入PKI服务器地址,inthecase 192.168.1.53/certsrv,点击申请证书
点击高级证书申请
选择base编码申请
打开刚刚在IIS管理器创建的申请文件,将文件内容复制到网页中
点击提交申请
打开证书办法机构管理界面
找到刚刚挂起的申请,选择颁发
回到浏览器,产看证书申请状态
下载证书文件
回到IIS管理器,服务器证书界面,点击完成服务器证书申请
找到刚刚下载的证书文件,指定一个名称完成证书申请
服务加固项说明
加固内容 | 作用 |
---|---|
ssl | 加密 |
选择刚刚创建的证书,并勾选需要ssl,保存更改
实验效果
这时发现登陆不了了
打开一个靶机,打开一个ftp客户端软件(命令行不支持ssl)自动弹出ssl证书信息
同意后发现连接成功了
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。